Una de las cuestiones que más nos plantean los clientes, cuando nos referimos a protección de datos, se refiere a la auditoría y, en concreto, quién debe realizarla o qué requisitos debe cumplir el encargado de llevarlas a cabo.
Si bien se esperaba que el nuevo Reglamento aclarara la cuestión al respecto, dado el silencio que en tal sentido mantiene la LOPD, sin embargo nada ha resuelto, manteniendo tal cuestión en un, a mi juicio, consciente olvido, evitando pronunciarse en uno u otro sentido.
Bien, recordemos que según el RLOPD, las auditorías de los sistemas de información e instalaciones de tratamiento y almacenamiento de datos hay que efectuarlas, al menos cada dos años, siempre que se trate de ficheros con un nivel de seguridad medio, sean éstos automatizados o no. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir o afecten al cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría extraordinaria iniciará, de nuevo, el cómputo de dos años fijado en el RLOPD.
A los efectos que aquí tratamos, baste decir que en el RLOPD se reitera, como en el anterior, que tal auditoría podrá ser externa o interna, sin especificar cómo haya de realizarse, por quién o con qué calificaciones o cualificaciones.
Vaya por delante, antes de entrar en las procelosas aguas de la interpretación jurídica, que la APD ha mantenido una postura absolutamente neutra en cualquier sentido, no estando de más recordar que, de todos los expedientes instruidos por la APD en los últimos años, ni siquiera el 2% de ellos se han referido al cumplimiento/incumplimiento de medidas de seguridad. Siendo cierto lo anterior, es interesante destacar que la APD siempre ha mantenido una actitud sumamente abierta con las cuestiones técnicas relativas a las medidas de seguridad, prefiriendo recomendar y/o advertir, antes que sancionar (insisto, en estas cuestiones).
Volviendo al tema que nos ocupa, ¿quién está capacitado para realizar una auditoría de los sistemas de seguridad y del cumplimiento del documento de seguridad? Cuestión, por cierto, íntimamente relacionada con la nueva caracterización del responsable de seguridad de los ficheros, figura de difícil encaje en una empresa y de perfil intermedio, entre técnico y jurídico.
En fin, como quiera que no existe una titulación específica en tales menesteres ni un “Colegio Oficial” de auditores informáticos, la gloria se la disputan a día de hoy, los informáticos y los ingenieros, sin que hasta el momento la balanza se halla decantado a favor de uno u otro y sin que la APD se haya, tampoco, decantado por ninguna de las dos opciones (con buen criterio, a mi parecer).
Qué duda cabe que podemos apuntar titulaciones “no oficiales” que aportan un plus de conocimientos y de bagaje que nos permitirían defender tal propuesta y que, además, gozan de buena reputación en tal sentido (por ejemplo, ISACA y sus certificaciones CISA), pero lo cierto es que a día de hoy no existe ninguna obligación en tal sentido.
La única referencia que, a día de hoy, podemos utilizar para llegar a una contestación más o menos razonable, la podemos encontrar en la Instrucción 1/1995, de 1 de marzo, de la Agencia de Protección de Datos, relativa a la prestación de servicios de información sobre solvencia patrimonial y crédito.
En esa Instrucción, se fijaban las normas relativas a tales servicios y se dedicaba la Norma Cuarta, en el capítulo segundo, a las formas de comprobación de las medidas de seguridad implantadas. Tras señalar que la implantación, idoneidad y eficacia de dichas medidas se acreditará mediante la realización de una auditoría, proporcionada a la naturaleza, volumen y características de los datos personales almacenados y tratados, se indica que la auditoría podrá ser realizada:
- “Por el departamento de auditoría interna del responsable del fichero, si cuenta con un departamento formalmente constituido, profesionalmente cualificado e independiente del órgano responsable del tratamiento y gestión de los datos”.
- “Por un auditor externo, profesionalmente cualificado e independiente del responsable del fichero”.
Respecto a lo que aquí tratamos interesa, la Instrucción añadía que la realización de las auditorías bianuales debía ser llevada a cabo “de acuerdo con las normas y recomendaciones de ejercicio profesional aplicables en el momento de su ejecución”, dejando sin especificar sin embargo qué había que considerar por “profesional cualificado” (dado que no existe formalmente esa cualificación o titulación oficial) o más aún, cuándo se puede considerar que un trabajador perteneciente a una organización es independiente de esa organización a la que audita. Y sin olvidar que, aunque pueda servir como referencia, esa Instrucción se dedica a un sector concreto.
Lo cierto es que la contratación o el recurso a auditores externos plantea pocos problemas.
En la realidad del día a día, en el que las empresas (en un alto porcentaje) consideran que las políticas de protección de datos o de SGSI constituyen un gasto y no una inversión, amén de suponer un coste importante para las mismas, lo cierto es que las auditorías suelen ser de carácter interno, realizadas por personas con pocos/ningún conocimiento en informática de la propia empresa, pero sin constituir departamentos independientes ni nada por el estilo. Los “designados” suelen contar con algunos conocimientos en protección de datos, aunque cierto es que su designación pretende, más que nada, cubrir el expediente y poco más.
Ahora, que la cosa se está poniendo más seria con la entrada en vigor del RLODP, veremos qué virtualidad le ofrecen a la APD estas auditorías y como enfoca esa segunda fase de la implantación de la LOPD, consistente en la revisión de las políticas de seguridad y del documento de seguridad que, hasta la fecha, no ha recibido demasiada atención por la Agencia.
Escrito por Alvaro Suarez 
